Cibersegurança: apenas 40% das empresas treinam funcionários
Apesar do avanço tecnológico, estudo aponta que a maioria das empresas ainda não capacita seus funcionários para lidar com ameaças virtuais. O consultor de segurança da informação Robert Souza alerta sobre os riscos da falta de treinamento
Um estudo da empresa Kaspersky revelou que apenas 40% das organizações oferecem treinamentos de cibersegurança aos seus funcionários. O dado, divulgado em 2022, mostrou um resultado muito parecido com o que havia sido detectado em 2020 ‒ revelando, do ponto de vista da companhia, que a expansão do trabalho remoto e o avanço tecnológico não mudaram alguns pontos da cultura corporativa.
Além da falta de treinamento, a Kaspersky mencionou também o fato de profissionais usarem senhas fracas e programas piratas no dia a dia. Uma situação que deixa os negócios mais vulneráveis a sofrerem invasões e vazamentos, principalmente de dados pessoais dos clientes.
Robert Souza, diretor-executivo da Inove Dados e consultor especializado em segurança da informação, vê como preocupante o fato de muitas empresas não deram atenção aos treinamentos dos seus profissionais. "O usuário é frequentemente o elo mais fraco da corrente. Apesar dos avanços tecnológicos e dos robustos sistemas de segurança implantados pelas organizações, a vulnerabilidade humana permanece como uma constante inabalável, muitas vezes subestimada", diz.
O especialista explica que o simples ato de clicar em um link suspeito ou baixar um arquivo de origem desconhecida pode comprometer as mais sofisticadas barreiras de segurança. Para ele, "reforçar a consciência e a responsabilidade de cada indivíduo torna-se não apenas uma estratégia complementar, mas uma necessidade absoluta".
Como funcionam os treinamentos de segurança da informação
Robert Souza explica que os treinamentos combinam sessões teóricas (que podem ser ministradas de maneira remota) com práticas. Nesse último caso, há realização de simulações e exercícios interativos, testando como os colaboradores agiriam diante de uma ameaça.
Um exemplo é simular um phishing, crime no qual o golpista envia uma comunicação (normalmente um e-mail ou mensagem no celular) que aparenta vir de uma fonte confiável, mas, na verdade, é uma estratégia fraudulenta para roubar informações confidenciais, como logins e senhas.
"O que antes se concentrava em conceitos básicos de segurança da informação, como evitar vírus e malwares, evoluiu para abordar táticas de ataque mais complexas e personalizadas, incluindo ransomware avançado e ataques direcionados específicos a setores ou organizações. A gamificação e as simulações realistas de ataque tornaram-se componentes essenciais", diz Robert Souza.
Outro ponto mencionado pelo consultor é a possibilidade de personalização: isto é, adequar o treinamento a cada departamento, sem um conteúdo exatamente igual para todos. O motivo disso é que os setores ficam vulneráveis a abordagens e riscos diferentes por conta da natureza dos serviços que prestam.
Entretanto, Robert Souza aponta que há alguns cuidados que servem para todos. Entre eles, estão nunca abrir links ou baixar arquivos de fontes desconhecidas, criar senhas fortes que combinem números, palavras e caracteres especiais e ter o hábito de fazer backup.
Ele considera ainda que é importante ter uma cultura de segurança da informação dentro da empresa. "Isso significa ir além das sessões de treinamento para integrar boas práticas no dia a dia dos funcionários, incentivando um ambiente onde a segurança é vista como uma responsabilidade compartilhada", diz. O especialista destaca a importância de ter avaliações contínuas e feedbacks sobre a efetividade dos treinamentos.
"Além disso, é essencial preparar os funcionários não apenas para prevenir riscos, mas para responder de maneira eficaz quando ocorrerem, minimizando potenciais danos e recuperando-se de forma rápida e organizada", conclui.
Para saber mais, basta conferir o artigo sobre treinamento em segurança da informação no blog da Inove Dados.